home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / aac / aac-minutes-93jul.txt < prev    next >
Encoding:
Text File  |  1993-08-19  |  9.2 KB  |  241 lines
  1.  
  2. CURRENT_MEETING_REPORT_
  3.  
  4. Reported by B. Clifford Neuman/Information Sciences Institute
  5.  
  6. Minutes of the Authorization and Access Control WG (AAC)
  7.  
  8. The Authorization and Access Control Working Group met at the July IETF
  9. for the first time since the approval of its charter and official
  10. inception as a working group.  The preceding three meetings were BOF
  11. sessions.
  12.  
  13. The charter, past minutes, mailing list discussions, and other documents
  14. mentioned in these minutes are available by anonymous FTP from
  15. prospero.isi.edu in the directory /pub/aac.
  16.  
  17.  
  18. Agenda
  19.  
  20.  
  21.    o Report on approval of the AAC charter.
  22.  
  23.    o Presentation of a list of restrictions and privilege attributes
  24.      needed by applications and existing security systems, and a
  25.      proposed method for representing them.
  26.  
  27.    o Discussion of the intended use of these restrictions by
  28.      applications, and the presentation of an Application Program
  29.      Interface (API) to provide a simple interface for application
  30.      developers.
  31.  
  32.    o Discussion of the information maintained in the security context.
  33.      The security context maintains information about the user that is
  34.      used to make authorization decisions.
  35.  
  36.  
  37. Report on the AAC Charter
  38.  
  39. It was reported that the working group charter was approved by the IESG.
  40. Steve Crocker brought up several desires that were raised in the
  41. discussion by the IESG. Among these desires is the need for some kind of
  42. demonstration of the technology, in particular, integration with
  43. possible applications.
  44.  
  45.  
  46. Discussion of Possible Applications (Digression)
  47.  
  48. Possible applications were discussed.  An early test will be the
  49. Prospero Directory Service which already has support for access control
  50. lists, and an access control list type reserved for the mechanism
  51. developed by the working group.
  52.  
  53.                                    1
  54.  
  55.  
  56.  
  57.  
  58.  
  59. Another possible application is in support of cross-site, remote
  60. execution.  In particular, Tom Hutton is looking for a simple way to
  61. specify access controls for data and processing resources distributed
  62. across several sites.
  63.  
  64. File transfer provides a third set of applications.  Steve Crocker
  65. pointed out the need for secure file transfer to and between large
  66. diverse groups.  This is related to the FTP extension work in the Common
  67. Authentication Technology Working Group (CAT) in that those extensions
  68. make available to the application the authenticated network identity of
  69. the client, and that identity might be used as a basis for authorization
  70. decisions.  Some of the Washington University FTP daemon extensions are
  71. also of interest here.
  72.  
  73. A final application that was discussed was network databases.  Daisy
  74. Rose mentioned that the Network Database Working Group (NETDATA) has a
  75. need for an authorization mechanism that will allow them to determine
  76. which remote principals are authorized to access a database, and which
  77. local user ID is to apply to such remote accesses.
  78.  
  79.  
  80. How It Will Be Used by Applications
  81.  
  82. Throughout the discussion of possible applications, the issue of how
  83. authorization information would be specified by applications was raised.
  84. There seemed to be two classes:  applications that are aware of network
  85. identities, and those that are not.
  86.  
  87. Applications that are not aware of network identities rely on local
  88. authorization using local user identities.  A separate mechanism is used
  89. to map network identities to local identities.  For such applications,
  90. authorization is confined to initially establishing who is authorized to
  91. assume a particular identity at the time a connection is initiated.  It
  92. is not clear if this is an authentication issue or an authorization
  93. issue.
  94.  
  95. Applications that are aware of network identities make a call to the
  96. authorization API for each operation that is to be mediated.  The
  97. authorization API will return a yes or no answer, or a list of what the
  98. principal can do, based on the principal's network identity.
  99.  
  100. Access control list entries could identify the type of authentication
  101. required, in addition to the name of the principal authorized by an
  102. entry.  Sam Sjogren suggested allowing the specification of weaker
  103. authentication methods including regular expression matches on network
  104. address or hostname and usernames in addition to stronger methods.  This
  105. would allow the authorization API to be used with an existing
  106. application that does not have support for strong authentication, and
  107. would allow easier transition to stronger mechanisms if they are later
  108. integrated into the application.
  109.  
  110. There was a brief discussion about whether an administrative interface
  111. to maintain access control lists needs to be defined.  This issue was
  112.  
  113.                                    2
  114.  
  115.  
  116.  
  117.  
  118.  
  119. defered until it is decided what access control lists and the API for
  120. checking authorization will look like.  The definition of an external
  121. representation for an access control list should be enough to get
  122. started.
  123.  
  124.  
  125. Presentation of Restrictions and Privilege Attributes
  126.  
  127. A draft list of restrictions was distributed at the meeting.  The list
  128. defines some common restrictions that are useful for representing
  129. privilege attributes and constraints on the use of credentials in
  130. distributed systems.
  131.  
  132. Several restrictions were discussed.  Sam Sjogren suggested that it
  133. might be useful to think of these in terms of the questions who, what,
  134. when, where, and how (why is more appropriate for audit than
  135. authorization).  With this taxonomy, the restrictions discussed were:
  136.  
  137.  
  138.    o who - for_use_by_principal, for_use_by_group;
  139.    o what - local_uid, group_membership, dce_pac, authorized, quota,
  140.      netmask;
  141.    o when - accept_n_times, authorized_times;
  142.    o where - for_use_on_server, limit_restriction, limit_application; and
  143.    o how - connection_type (dial-in, hard-wired from a secure area, etc),
  144.      application_name.
  145.  
  146.  
  147. Even with this breakdown, there was a great deal of confusion about the
  148. difference between the ``who'' restrictions which limit who may exercise
  149. the proxy, and the ``what'' restrictions that seem to assert local user
  150. IDs and group membership, instead of restrict them.  It is clear from
  151. the discussion that the model needs to be refined so that this
  152. distinction is more understandable, or replaced so that positive and
  153. negative attributes are considered separately.
  154.  
  155. During discussion after the meeting, some ideas for addressing this
  156. confusion were generated.  A revised specification incorporating one of
  157. these ideas will be distributed to the mailing list by the third week of
  158. August, and it will be decided at that time if the concerns have been
  159. addressed.
  160.  
  161.  
  162. Discussion of the Security Context
  163.  
  164. In the few minutes that remained, Piers McMahon discussed possible
  165. information to be included in the security context, a structure that
  166. stores information about a principal and is passed as input to the
  167. authorization API which uses it, to decide which access control list
  168. entries are applicable.  The presentation outlined the security-relevant
  169. information about a session maintained by, exported by, or used by
  170.  
  171.                                    3
  172.  
  173.  
  174.  
  175.  
  176.  
  177. several systems.
  178.  
  179. The Generic Security Service Application Program Interface (GSS-API)
  180. supports authentication and message protection.  Separate authorization
  181. mechanisms provide access mediation and enforcement.  The network user
  182. identity authenticated by the GSS-API is part of the security context
  183. and can be used by the authorization API.
  184.  
  185. In the OSF Distributed Computing Environment, a set of privileges are
  186. added to the security context.  These privileges are securely
  187. transmitted in privilege attribute certificates signed using Kerberos.
  188. These privileges become part of the security context once validated by
  189. the end-server.
  190.  
  191. The security context for Sesame includes privilege attributes and
  192. control attributes that can limit delegation and permissible targets.
  193. Max Six includes labels and audit IDs in the security contexts.
  194.  
  195. Representation of attributes is likely to be needed in a security
  196. context used for access control.  It is recommended that the GSS-API
  197. security context be extended to include privilege attributes.  John Linn
  198. pointed out that if this is done, a set of widely accepted attributes
  199. will be needed.
  200.  
  201. Thanks to Richard Graveman for his notes which were helpful in the
  202. preparation of these minutes.
  203.  
  204.  
  205. Attendees
  206.  
  207. Chris Adie               C.J.Adie@edinburgh.ac.uk
  208. Mohammad Alaghebandan    mohammad_alaghebandan@3com.com
  209. Luc Boulianne            lucb@cs.mcgill.ca
  210. Stefan Braun             smb@cs.tu-berlin.de
  211. Stephen Crocker          crocker@tis.com
  212. Kurt Dobbins             dobbins@ctron.com
  213. Richard Graveman         rfg@ctt.bellcore.com
  214. Neil Haller              nmh@thumper.bellcore.com
  215. Alton Hoover             hoover@ans.net
  216. Thomas Hutton            hutton@opus.sdsc.edu
  217. Dale Johnson             dsj@merit.edu
  218. Peter Koch               pk@techfak.uni-bielefeld.de
  219. Kim Chr.  Madsen         kimcm@ic.dk
  220. Clifford Neuman          bcn@isi.edu
  221. Mel Pleasant             pleasant@hardees.rutgers.edu
  222. Lars Poulsen             lars@cmc.com
  223. Robert Reschly           reschly@brl.mil
  224. Michael Roe              mrr@cl.cam.ac.uk
  225. Daisy Rose               daisy@watson.ibm.com
  226. Wolfgang Schneider       schneiw@darmstadt.gmd.de
  227. Heiner Schorn            heiner.schorn@umdac.umu.se
  228. Sam Sjogren              sjogren@tgv.com
  229.  
  230.                                    4
  231.  
  232.  
  233.  
  234.  
  235.  
  236. James Zmuda              zmuda@mls.hac.com
  237.  
  238.  
  239.  
  240.                                    5
  241.